严重 Redis未授权访问漏洞
CVE编号
N/A利用情况
EXP 已公开补丁情况
缓解措施披露时间
2019-07-10漏洞描述
Redis 是一个完全开源的高性能 key-value 数据结构存储,可以用来作为数据库、缓存和消息队列。 Redis 默认情况下会绑定在0.0.0.0:6379,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取敏感数据。解决建议
1. 配置 bind 选项(bind 127.0.0.1),绑定本地 IP 或内网 IP,禁止外网访问 Redis;2. 开启密码认证并设置复杂密码,requirepass mypassword;3. 修改 Redis 的默认端口6379为其他端口。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2019-21763 |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 EXP 已公开
- 补丁情况 缓解措施
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 服务器失陷
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论